web:[ACTF2020 新生赛]Exec

背景知识

命令执行漏洞

linux命令

题目

web:[ACTF2020 新生赛]Exec_第1张图片

打开题目,页面显示的是一个ping

web:[ACTF2020 新生赛]Exec_第2张图片

尝试一下

web:[ACTF2020 新生赛]Exec_第3张图片

查看源代码发现

web:[ACTF2020 新生赛]Exec_第4张图片

尝试ping一下百度

web:[ACTF2020 新生赛]Exec_第5张图片

由题目名可知这道题关于exec(命令执行),这里需要联想到可以多条命令执行

输入baidu.com;ls

尝试;号是否能够执行成功,结果如图所示,两条命令都被执行了,可以证明没有做一些过滤,可以利用这点读取文件,查找flag文件

web:[ACTF2020 新生赛]Exec_第6张图片

输入baidu.com;ls -al /,结果如图所示,d开头代表就是目录,没有d就代表文件

web:[ACTF2020 新生赛]Exec_第7张图片

使用cat命令查找flag,得到flag

web:[ACTF2020 新生赛]Exec_第8张图片

总结

exec为命令执行漏洞,存在多条命令执行

;              # 分号隔开每条命令,整行命令按照从左到右的顺序执行,彼此之间互不影响,所有的命令都会执行。

|              # 只执行后面那条命令。

||             # 只执前面那条命令。

&             #两条命令都会执行。

&&           # 两条命令都会执行。

你可能感兴趣的:(BUUCTF-WEB,web安全,网络安全)